EU AI Act-skyldigheter för försäkrings-AI: aktuariella modeller, riskbedömning, skadehantering och prissättnings-AI för fysiska personer. Täcker Annex III kategori 5(b) och interaktion med Solvens II.
Försäkring och EU AI Act — den aktuariella utmaningen
EU AI Act (förordning (EU) 2024/1689) ålägger sin tyngsta efterlevnadsbörda på AI-system som påverkar fysiska personers möjlighet att få tillgång till grundläggande tjänster och finansiella produkter. Försäkring befinner sig i centrum för denna problematik. AI-system som avgör huruvida en fysisk person kan erhålla motor-, hälso-, liv- eller egendomsförsäkring — och till vilken kostnad — är i många konfigurationer högrisk-AI-system enligt Annex III, punkt 5(b) i förordningen.
Den centrala utmaningen för försäkringssektorn är aktuariell. I över ett sekel har försäkringsprissättning grundats på statistisk modellering av risk inom populationskohortter. EU AI Act förbjuder inte aktuariell differentiering, men ålägger substantiella skyldigheter för de AI-system genom vilka sådan differentiering genomförs när dessa system verkar på nivån för den enskilda fysiska personen. Skiftet från traditionella poolningsmodeller till AI-driven individuell riskbedömning — möjliggjort av telematik, hälsodataströmmar och beteendeanalys — är precis vad som utlöser förordningens högriskregim.
Försäkringsbolag som verkar i EU måste därför genomföra en systematisk klassificeringsövning: vilka av deras AI-system producerar individualiserade utdata som avgör eller väsentligen påverkar täckningsbeslut för fysiska personer? Den klassificeringsövningen är inte enbart en efterlevnadsformalitet. Dess utfall avgör huruvida försäkringsbolaget, som driftsättare enligt Art. 26 (eller tillhandahållare enligt Art. 16), bär skyldigheter avseende datastyrning, teknisk dokumentation, mänsklig tillsyn, bedömning av överensstämmelse och registrering i EU:s databas för högrisk-AI.
Förordningens tillämpning på försäkring kompliceras ytterligare av sektorns redan befintliga regleringstäthet. Solvens II-direktivet (2009/138/EG), direktivet om försäkringsdistribution (IDD) (EU) 2016/97, GDPR och EIOPA:s principbaserade AI-riktlinjer (2021) ålägger var och en krav på aktuariell modellering, kundbehandling och dataanvändning. Dessa regelverk överlappar med — men ersätter inte — EU AI Act-skyldigheter. Efterlevnadsprogram måste adressera samtliga regelverk parallellt.
Högrisk-AI-användningsfall inom försäkring
Aktuariella prissättningsmodeller för fysiska personer
Annex III, punkt 5(b) i EU AI Act klassificerar som högrisk varje AI-system som används för att utvärdera fysiska personers kreditvärdighet eller för att klassificera fysiska personer utifrån deras riskprofil i syfte att få tillgång till försäkringstjänster. Detta täcker aktuariella AI-system som:
- Genererar ett individuellt riskpoäng som används för att fastställa en motorfordonsförsäkringspremie för en namngiven försäkringstagare
- Klassificerar en fysisk persons hälsostatus eller mortalitetsrisk för att fastställa berättigande till livförsäkringsskydd eller premie
- Producerar ett prissättningsbeslut för egendomsförsäkring baserat på AI-bedömda riskfaktorer hänförbara till en specifik fysisk person
Den avgörande tröskeln är påverkan på enskilda fysiska personer. Aktuariell AI som tillämpas på juridiska personer — företagsansvar, kommersiellt gods, industriell egendom — utlöser inte Annex III kat 5(b) såvida inte fysiska personer påverkas på ett materiellt likvärdigt sätt. Försäkringsbolag som tecknar både personliga och kommersiella försäkringslinjer måste klassificera varje AI-system utifrån den population det verkar på.
Telematik för motorfordonsförsäkring och pay-as-you-drive-system
Telematikbaserade prissättningssystem för försäkring som samlar in data om körbeteende — hastighet, acceleration, bromsmönster, tidsbaserad användning — och använder AI-modeller för att generera en individuell premie för en namngiven fysisk person är det paradigmatiska högrisk-AI-användningsfallet inom försäkring. Dessa system uppfyller alla element i Annex III kat 5(b): de utvärderar enskilda fysiska personer, de producerar utdata som avgör tillgång till och prissättning av försäkring, och deras AI-drivna individualisering är precis det som särskiljer dem från traditionell aktuariell poolning.
Tillhandahållare av telematikbaserade bedömningsverktyg — oavsett om de utvecklats internt eller licensierats från en tredjepartsleverantör — måste följa Art. 9 (riskhantering), Art. 10 (datastyrning för tränings- och valideringsdataset), Art. 11 läst med Annex IV (teknisk dokumentation), Art. 12 (loggning), Art. 13 (transparens), Art. 14 (mänsklig tillsyn) och Art. 15 (noggrannhet, robusthet, cybersäkerhet).
AI för riskbedömning inom liv- och hälsoförsäkring
AI-system som används vid riskbedömning för livförsäkring för att bedöma livslängd eller mortalitetsrisk för enskilda sökande — och som avgör om täckning erbjuds och till vilken premie — är högrisk enligt Annex III kat 5(b) när de producerar individualiserade bedömningar för fysiska personer. Detta inkluderar AI-system som bearbetar svar på hälsoformulär, journalhandlingar (när dessa lagligen nås) eller dataströmmar från bärbara enheter för att generera ett riskpoäng som påverkar riskbedömningsbeslut.
Hälsoförsäkrings-AI som segmenterar enskilda sökande efter hälsoriskprofil i syfte att fastställa prissättning eller berättigande är föremål för samma klassificering. Försäkringsbolag måste vara uppmärksamma på skärningspunkten mellan GDPR Art. 9 (hälsodata som känsliga personuppgifter) och AI Act:s Art. 10 datastyrningskrav: träningsdataset som innehåller hälsodata kräver en explicit rättslig grund enligt GDPR Art. 9(2), och denna grund måste dokumenteras i den tekniska dokumentation som krävs enligt Annex IV.
AI för skadebedömning och skadereglering
Klassificeringen av AI för skadehantering beror på dess funktionella roll i skadehanteringsflödet. Två scenarier måste särskiljas:
- AI som väsentligen påverkar ett skadeutfall för en fysisk person: när ett AI-system bedömer en skada och dess utdata direkt resulterar i reducering, avslag eller villkorad betalning av en försäkringsersättning till en fysisk person — även om den nominellt granskas av en människa — är systemet sannolikt högrisk enligt Annex III kat 5(b), eftersom det i praktiken avgör den fysiska personens tillgång till försäkringsförmåner.
- AI som flaggar skadeärenden för mänsklig utredning: när AI:ns utdata är ett av flera underlag som beaktas av en skadehandläggare som fattar ett självständigt och substantiellt beslut, och handläggaren har befogenhet och information att avvika från AI:ns bedömning, är systemet kanske inte högrisk. Denna distinktion måste dokumenteras och vara operativt genuin, inte nominell.
AI för bedrägeridetektering inom försäkring
AI-system som används för att detektera potentiellt bedrägliga skadeärenden befinner sig i ett viktigt gränsland. Om bedrägeridetektions-AI:n utlöser en automatisk negativ åtgärd — suspension av utbetalning, annullering av försäkring — som drabbar en fysisk person utan substantiell mänsklig granskning, är den sannolikt högrisk. Om AI:n enbart genererar en bedrägerisignal som sedan utreds av en specialisthandläggare som behåller full beslutsbefogenhet, är den kanske inte det. Försäkringsbolag bör detaljerat dokumentera bedrägeridetektion-AI:ns arbetsflöde och bedöma huruvida den operativa mänskliga tillsynen är substantiell eller nominell.
Tillhandahållare kontra driftsättare inom försäkring
Att skilja rollerna åt
EU AI Act ålägger olika skyldigheter beroende på om en organisation är tillhandahållare (utvecklar och släpper ut AI på marknaden) eller driftsättare (använder ett tredjeparts-AI-system i ett professionellt sammanhang). För försäkringsbolag är denna distinktion kommersiellt betydelsefull:
- Ett försäkringsbolag som utvecklar ett eget telematikbaserat bedömningsverktyg eller aktuariellt prissättnings-AI är tillhandahållare enligt Art. 3(3) och bär det fullständiga ansvaret för tillhandahållarens skyldigheter enligt Art. 16: kvalitetsledningssystem, teknisk dokumentation, EU-försäkran om överensstämmelse, CE-märkning, registrering i EU:s databas och övervakning efter driftsättning.
- Ett försäkringsbolag som licensierar aktuariell AI-programvara från en leverantör är driftsättare enligt Art. 3(4) och bär driftsättarens skyldigheter enligt Art. 26: implementering i enlighet med tillhandahållarens instruktioner, mänsklig tillsyn, logghantering och incidentrapportering.
- Ett försäkringsbolag som modifierar ett licensierat AI-system på ett sätt som förändrar dess avsedda ändamål — exempelvis genom att tillämpa en telematikmodell på en försäkringstagarpopulation utanför det validerade tillämpningsområdet — kan omklassificeras som tillhandahållare enligt Art. 25(1) med fullständiga tillhandahållarskyldigheter.
Driftsättarens due diligence för aktuariell leverantörs-AI
Försäkringsbolag som driftsätter tredjeparts-AI-system för aktuariella ändamål måste genomföra strukturerad due diligence före och efter driftsättning:
Före driftsättning: Verifiera att AI-systemet är registrerat i EU:s databas för högrisk-AI enligt Art. 49, bär CE-märkning och åtföljs av en EU-försäkran om överensstämmelse. Begär och granska sammanfattningen av den tekniska dokumentationen, inklusive noggrannhets- och biasmått, det validerade tillämpningsområdet och redogörelsen för avsett ändamål.
Avtalsskydd: Upphandlingsavtal med AI-leverantörer bör specificera: leverantörens skyldighet att informera försäkringsbolaget om väsentliga uppdateringar eller omvärderingar; leverantörens skyldighet att på begäran tillhandahålla uppdaterad data från marknadsövervakning efter driftsättning; samt gränserna för det tillåtna driftsättningsomfånget — med en tydlig mekanism för försäkringsbolaget att begära en utvidgningsbedömning snarare än att agera unilateralt.
Löpande övervakning: Enligt Art. 26(5) måste driftsättare övervaka prestandan hos högrisk-AI-system i deras operativa sammanhang. För aktuariell AI innebär detta att spåra modellprestanda mot faktiska skadeutfall, övervaka distributionsförskjutning mellan träningspopulationen och den aktiva försäkringstagarpopulationen, samt eskalera väsentliga avvikelser till leverantören för utredning.
Interaktion med Solvens II, IDD och GDPR
Solvens II — System of Governance och ORSA
Solvens II-direktivets Pelare II-krav fastställer ett System of Governance över aktuariella och riskhanteringsfunktioner. Own Risk and Solvency Assessment (ORSA) kräver dokumenterad riskidentifiering, stresstestning och intern modellstyrning. Dessa krav överlappar väsentligt med EU AI Act:s Art. 9 riskhanteringssystem och modellvalideringskomponenterna i Annex IV teknisk dokumentation.
Försäkringsbolag bör genomföra en strukturerad gapanalys för att identifiera vilka Solvens II-styrningsartefakter som kan utnyttjas för AI Act-efterlevnad och vilka luckor som kvarstår. Typiska nyckelluckor inkluderar: AI-specifik biastestning och rättviseanalys (som inte adresseras i Solvens II); Art. 10 datasetdokumentation för tränings- och valideringsdata (som sträcker sig utanför Solvens II:s modellvalideringsomfång); Art. 12 automatisk loggning av AI-systemets drift; och utformning av mekanismer för mänsklig tillsyn enligt Art. 14. När en intern modell godkänd under Solvens II innehåller AI-komponenter måste styrningsramverket för den modellen utvidgas för att uppfylla AI Act-skyldigheterna innan systemet lagligen kan driftsättas under högriskregimen.
Direktivet om försäkringsdistribution — rättvisa och transparens
IDD (EU) 2016/97 kräver att försäkringsdistribution genomförs i kundens bästa intresse, med information presenterad på ett begripligt sätt. När AI används i distributionsprocessen — exempelvis på en digital plattform som genererar personaliserade produktrekommendationer eller premieofferter — stämmer IDD:s krav på rättvisa och information överens med EU AI Act:s Art. 13 transparenskrav. Försäkringsbolag bör integrera AI Act:s informationsskyldigheter i IDD:s produktinformationsdokument (IPID) och faktablad, och säkerställa att AI:ns roll i distributions- eller prissättningsbeslutet kommuniceras i ett språk som är tillgängligt för försäkringstagaren.
GDPR — känsliga personuppgifter och automatiserat beslutsfattande
GDPR Art. 9 klassificerar hälsodata, genetiska data och data rörande en persons fysiska eller psykiska hälsotillstånd som känsliga personuppgifter, vars behandling är förbjuden om inte ett specifikt undantag föreligger. Liv- och hälsoförsäkringsbolag som använder sådana data för AI-träning eller -bedömning måste identifiera och dokumentera en giltig rättslig grund enligt Art. 9(2) — vanligast uttryckligt samtycke enligt Art. 9(2)(a) eller ett undantag i nationell rätt enligt Art. 9(2)(b) — för varje datakategori och behandlingsändamål.
GDPR Art. 22 begränsar uteslutande automatiserade beslut som medför rättsliga eller liknande betydande effekter för fysiska personer. Ett AI-baserat riskbedömningsbeslut som automatiskt avslår en ansökan om täckning, eller ett AI-baserat skadebeslut som automatiskt reducerar en ersättningsutbetalning utan mänsklig inblandning, utgör uteslutande automatiserat beslutsfattande enligt Art. 22. Den registrerade har rätt till: mänsklig granskning av beslutet; en förklaring av de viktigaste faktorerna som påverkat det automatiserade beslutet; och rätten att bestrida utfallet. Försäkringsbolag måste bygga in dessa rättigheter i sina kundvända processer och säkerställa att de interna granskningsmekanismerna är substantiellt funktionella.
EIOPA:s AI-riktlinjer
EIOPA:s principbaserade riktlinjer om AI-användning inom försäkring (2021) fastställde sektorsförväntningar avseende transparens, icke-diskriminering, datakvalitet och modellförklarbarhet innan AI Act trädde i kraft. EIOPA utvecklar sektorsspecifik implementeringsvägledning för EU AI Act, och försäkringsbolag bör följa EIOPA:s publikationer noggrant. Nationella tillsynsmyndigheter — ACPR (Frankrike), BaFin (Tyskland), IVASS (Italien), DNB (Nederländerna) — kommer att implementera tillsynsförväntningar i linje med EIOPA:s vägledning, och sektorsspecifika frågor och svar förväntas publiceras under förordningens implementeringsperiod.
Tillsyn — EIOPA och nationella tillsynsmyndigheter
EIOPA:s tillsynsroll
EIOPA (Europeiska försäkrings- och tjänstepensionsmyndigheten) har inte direkt tillsynsbefogenhet enligt EU AI Act, som utpekar nationella tillsynsmyndigheter som behöriga myndigheter enligt Art. 70. EIOPA samordnar dock tillsynskonvergens mellan EU:s försäkringstillsynsmyndigheter och utfärdar bindande och icke-bindande tekniska standarder. EIOPA:s AI-styrningsförväntningar — uttryckta genom riktlinjer, yttranden och tillsynsutlåtanden — kommer att forma hur nationella tillsynsmyndigheter implementerar AI Act-kraven inom försäkringskontext. Försäkringsbolag bör behandla EIOPA:s publikationer som auktoritativ sektorsvägledning även när de inte är juridiskt bindande.
Nationella försäkringstillsynsmyndigheter som behöriga AI-myndigheter
Nationella försäkringstillsynsmyndigheter i de större EU-marknaderna är positionerade att utöva befogenheter som behöriga AI Act-myndigheter över försäkrings-AI-system:
- ACPR (Autorité de contrôle prudentiel et de résolution) i Frankrike, som har publicerat tillsynsförväntningar om AI inom finansiella tjänster
- BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) i Tyskland, med ett etablerat spår av tillsyn över algoritmbaserat beslutsfattande
- IVASS (Istituto per la Vigilanza sulle Assicurazioni) i Italien
- DNB (De Nederlandsche Bank) i Nederländerna
Dessa myndigheter har befogenheter enligt Art. 74 och Art. 75 att begära tillgång till träningsdata, teknisk dokumentation och loggar; att genomföra inspektioner på plats; att förelägga om korrigerande åtgärder; och att rekommendera ekonomiska sanktioner vid bristande efterlevnad. Böter för att ha släppt ut icke-konforma högrisk-AI-system på marknaden kan uppgå till 30 miljoner euro eller 6 % av den globala årsomsättningen, beroende på vilket som är högst.
Dubbel tillsyn: AI Act och sektorsreglering
Försäkringstillsynsmyndigheter som genomför AI Act-tillsyn kommer att göra det inom ramen för sina bredare tillsyns- och uppförandemandat. En AI Act-utredning om en partisk aktuariell prissättningsmodell kan samtidigt beröra Solvens II Pelare III-rapporteringsskyldigheter, IDD:s uppförandekrav och GDPR-tillsyn av dataskyddsmyndigheten. Försäkringsbolag bör förutsätta att tillsynsåtgärder kommer att vara tvärsektoriella och utforma sina efterlevnadsprogram i enlighet med detta.
Efterlevnadsplan för försäkringsbolag
Steg 1: AI-systemsinventering och klassificering
Genomför en heltäckande inventering av alla AI-system som används vid: premieprissättning; godkännande eller avslag vid riskbedömning; skadebedömning eller skadeutbetalning; bedrägeridetektion; kundriskbedömning; samt distribution eller produktrekommendation. För varje system, bedöm huruvida det producerar utdata som avgör eller väsentligen påverkar utfall för enskilda fysiska personer. System som uppfyller detta tröskelkrav kräver klassificeringsbedömning mot Annex III kat 5(b).
Steg 2: Fastställande av tillhandahållar-/driftsättarroll
För varje högrisk-AI-system, fastställ huruvida försäkringsbolaget är tillhandahållare, driftsättare eller — avgörande — om användning utanför leverantörens validerade tillämpningsområde har utlöst omklassificering till tillhandahållare. Anlita juridisk rådgivning för att bedöma gränsfall, särskilt när interna data eller försäkringstagarpopulationer har använts för att finjustera eller utvidga en licensierad modell.
Steg 3: Gapanalys mot AI Act-skyldigheter
Kartlägg befintliga Solvens II-styrningsartefakter, ORSA-dokumentation och interna modellvalideringsprocesser mot AI Act-kraven enligt Art. 9 (riskhantering), Art. 10 (datastyrning), Art. 11 och Annex IV (teknisk dokumentation), Art. 12 (loggning), Art. 13 (transparens), Art. 14 (mänsklig tillsyn) och Art. 15 (noggrannhet, robusthet, cybersäkerhet). Dokumentera identifierade luckor och tilldela ansvar för åtgärdande.
Steg 4: Datastyrning och GDPR-anpassning
För varje högrisk-AI-system, granska tränings- och valideringsdataset. Dokumentera dataursprung, insamlingsmetoder, representativitet för relevanta demografiska grupper av försäkringstagare och kända begränsningar. Säkerställ att GDPR-rättsliga grunder finns på plats för alla personuppgifter och, där tillämpligt, för känsliga personuppgifter. Integrera Art. 10-dokumentation i den tekniska filen enligt Annex IV.
Steg 5: Utformning av mekanismer för mänsklig tillsyn
Utforma operativt realistiska mekanismer för mänsklig tillsyn för varje högrisk-AI-driftsättning. För riskbedömnings-AI innebär detta att en kvalificerad riskbedömare har den information, befogenhet och det handlingsutrymme i arbetsflödet som krävs för att granska och avvika från AI:ns rekommendation innan den påverkar försäkringstagaren. För skade-AI innebär det att en skadehandläggare har substantiell granskningsbefogenhet — inte en nominell godkännandefunktion. Dokumentera tillsynsutformningen och inkludera den i den tekniska dokumentationen.
Steg 6: Leverantörers due diligence och avtalsöversyn
För tredjeparts-AI-system för aktuariella ändamål, implementera den due diligence-process före driftsättning som beskrivs ovan och granska befintliga leverantörsavtal. Om avtal saknar bestämmelser som kräver att leverantören upprätthåller AI Act-efterlevnadsdokumentation, informerar försäkringsbolaget om väsentliga förändringar och medger revision av AI-systemets prestanda, åtgärda detta genom avtalsändring eller omförhandling. Inrätta interna rutiner för att övervaka AI-systemets prestanda i den aktiva försäkringstagarpopulationen och rapportera väsentliga avvikelser till leverantörer och, när så krävs, till tillsynsmyndigheter.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
En prissättningsalgoritm för motorfordonsförsäkring är sannolikt högrisk enligt Annex III, punkt 5(b) om den utvärderar kreditvärdighet eller riskprofil för enskilda fysiska personer i syfte att fastställa premiumnivåer eller täckningsberättigande. Telematikbaserade pay-as-you-drive-system som bedömer enskilda förares beteende och använder den bedömningen för att fastställa premier för namngivna försäkringstagare faller tydligt inom denna kategori. Traditionella aktuariella poolningsmodeller som placerar individer i aktuariella klasser utan AI-driven individuell poängsättning befinner sig i ett gråare område, men varje AI-komponent som genererar ett individualiserat poäng som används för att prissätta eller godkänna en fysisk persons försäkring bör bedömas enligt Art. 6(2) läst tillsammans med Annex III kat 5(b).
Nej, men det finns en väsentlig överlappning som bör utnyttjas. EU AI Act:s Art. 9 kräver ett riskhanteringssystem som identifierar, analyserar och minskar förutsebara risker under AI-systemets livscykel. Solvens II Pelare II:s Own Risk and Solvency Assessment (ORSA) och System of Governance-kraven kräver dokumenterad riskidentifiering och intern modellstyrning över aktuariella processer och prissättningsprocesser. De styrningsstrukturer, dokumenterade riskbedömningar och modellvalideringsförfaranden som tagits fram för Solvens II kan utgöra grunden för AI Act-efterlevnad, men måste kompletteras för att adressera AI-specifika skyldigheter: biastestning, datastyrning enligt Art. 10, automatisk loggning enligt Art. 12 och mänsklig tillsyn enligt Art. 14. En gapanalys mot Annex IV:s tekniska dokumentationskrav är nödvändig.
När ett högrisk-AI-system används för att fatta eller väsentligen påverka ett beslut som rör en fysisk person — inklusive godkännande, avslag eller prissättning av försäkringsskydd — måste den som driftsätter systemet tillhandahålla meningsfull information till den fysiska personen enligt Art. 26(6) i EU AI Act och, när automatiserat beslutsfattande enligt Art. 22 i GDPR är tillämpligt, gäller den registrerades rättigheter enligt Art. 13–15 och 22 GDPR. Försäkringstagare har rätt till en förklaring av logiken bakom automatiserade beslut, rätt att begära mänsklig granskning och rätt att bestrida utfallet. Försäkringsbolag som använder AI-baserade riskbedömningsverktyg måste därför utforma kundvända informationsprocesser och implementera mekanismer för mänsklig granskning som är genuint tillgängliga — inte beroende av specialistkompetens.
Inte automatiskt. AI för bedrägeridetektion som flaggar skadeärenden för mänsklig utredning — där den mänskliga utredaren fattar det slutliga beslutet om att betala, reducera eller avslå ersättningen — uppfyller kanske inte tröskeln för högriskklassificering enligt Annex III kat 5(b), eftersom AI:n inte självständigt avgör tillgången till försäkring för fysiska personer. Om bedrägeridetektionssystemets utdata däremot direkt utlöser en automatisk reducering, suspension eller avslag av en ersättningsutbetalning till en fysisk person utan en substantiell mänsklig granskning, är systemet sannolikt högrisk. Försäkringsbolag bör noggrant dokumentera hur bedrägeri-AI:ns utdata används i skadehanteringsflödet och säkerställa att meningsfull mänsklig tillsyn intervenerar innan en fysisk person berövas ersättning.
Försäkringsbolag som driftsätter tredjeparts-AI-verktyg för aktuariella ändamål bör avtalsrättsligt kräva följande: EU-försäkran om överensstämmelse och CE-märkningsdokumentation för högrisk-system; teknisk dokumentation enligt Annex IV, inklusive redogörelse för avsett ändamål, beskrivningar av träningsdataset, validerings- och testresultat (inklusive bias- och noggrannhetsmått för demografiska undergrupper) samt riskhanteringsfilen; användningsinstruktioner riktade till den som driftsätter systemet; data från marknadsövervakning efter driftsättning och incidentrapporter; samt de parametrar och villkor inom vilka systemet har validerats, inklusive eventuella begränsningar avseende användningsfall eller försäkringstagarpopulationer. Driftsättning utanför ramen för leverantörens användningsinstruktioner kan omklassificera försäkringsbolaget som tillhandahållare med alla tillhandahållarens skyldigheter enligt Art. 16.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.